Мойша
Забанен
На форуме 13 лет
Сообщения: 11
Откуда: Хогвартс
Авто: 11196
AD, контроллер AD WinServer 2008, режим работы домена настроен как 2003, остальные ПК - XP.
Встал вопрос сетевой безопасности, а именно:
Как запретить компам не входящим в домен подключаться к ресурсам типа \\comp001 и т.п., нужно сделать так что б даже окно авторизации не появлялось, а тупо писалось, что не найден сетевой путь или типо того?
GPO вывернул на изнанку-виндовым клинтам удалось запретить доступ, но вот из под Линукса все равно идет запрос авторизации...((
Как победить?
Установка тунелей IPsec между авторизованным в AD клинтом и сервером - решение не для моего случая!
Чё делать не знаю...Google отказался мне помочь!
Mord_vin
На форуме 15 лет
Сообщения: 1133
Откуда: Шамбала
Авто: ИС-3 и Т-34
genich
На форуме 16 лет
Сообщения: 7962
Откуда: Бутово
Mord_vin
поможет. Вкладка "безопасность" на шаре поможет. И яндекс.
Mord_vin
На форуме 15 лет
Сообщения: 1133
Откуда: Шамбала
Авто: ИС-3 и Т-34
genich писал(а):поможет. Вкладка "безопасность" на шаре поможет. И яндекс.
у меня в сети более 200 шар... так что, только через ГПО, но вот как и где я ошибся не пойму....
Mord_vin
На форуме 15 лет
Сообщения: 1133
Откуда: Шамбала
Авто: ИС-3 и Т-34
genich писал(а):И яндекс.
Мойша писал(а):Google отказался мне помочь!
Serge!
На форуме 20 лет
Сообщения: 11692
Откуда: Рязань
Авто: kia rio
вообще да, линю пофиг на формальности, запрос авторизации и вперед. А в чем криминал? Не знаешь пароля - идешь лесом...
Mord_vin
На форуме 15 лет
Сообщения: 1133
Откуда: Шамбала
Авто: ИС-3 и Т-34
Serge! писал(а):А в чем криминал? Не знаешь пароля - идешь лесом...
_________________
ЭЭЭ,не в этом дело!
А если я знаю пароль и могу авторизоваться!
Смотри как можно тиснуть инфу:
1. Пользователь №1 имеет доступ к шаре с "черной бухгалтерией", доступ к почте и флешкам у него заблочен, НО! он приносит ноут вставляет пачкорт в сеть набирает в командной строке \\сервер\черные базы 1с\ и у него появляется окно АВТОРИЗАЦИИ он вводит свою учетку в домене и вуаля, можно копировать любую инфу без следно... теперь понял о чем я?
genich
На форуме 16 лет
Сообщения: 7962
Откуда: Бутово
Mord_vin
а нафига так шар много?
У меня просто 2 хранилища на 12 и 4 Тб. И там уже по безопасности все настроено. Плюс хранилища сами из АД берут учетки и безопасность ставят.
Mord_vin писал(а):Пользователь №1 имеет доступ к шаре с "черной бухгалтерией", доступ к почте и флешкам у него заблочен, НО! он приносит ноут вставляет пачкорт в сеть набирает в командной строке \\сервер\черные базы 1с\ и у него появляется окно АВТОРИЗАЦИИ он вводит свою учетку в домене и вуаля, можно копировать любую инфу без следно... теперь понял о чем я?
а чтоб такой фигни не было, поднимаю на McAfee DLP-систему. И усе. Ни аськами-агентами, ни принтерами, ничем не вынесешь.
Плюс, виртуальные машины.
А по теме, на самые важные шары доступ ручками через безопасность, а на остальные пофиг. Раз их так много, значит там мало ценного.
genich
На форуме 16 лет
Сообщения: 7962
Откуда: Бутово
А, и по организации приказом запрет на личную оргтехнику с ознакомлением каждого под роспись и штрафом при нарушении.
Mord_vin
На форуме 15 лет
Сообщения: 1133
Откуда: Шамбала
Авто: ИС-3 и Т-34
genich
то что ты написал, это КОМПЛЕКС МЕР по информационной безопасности, а не решение конкретной задачи, все что ты написал давно действует,
если пользователь-инсайдер то
genich писал(а):запрет на личную оргтехнику с ознакомлением каждого под роспись и штрафом при нарушении
не прокатит.
genich писал(а):а нафига так шар много?
у меня более 800 ПК, 3 терминальных сервера и 1200 пользователей .
genich писал(а):McAfee DLP-систему
это деньги и большие, столько мне не дадут - платный софт ваше не рассматриваю.
Мне необходимо решить проблему с помощью GPO, но я же говорю, что где то ошибся, т.к. виндовым машинам доступ заблочен, а вот линуксовым запретить не удается, и я не пойму почему....
Serge!
На форуме 20 лет
Сообщения: 11692
Откуда: Рязань
Авто: kia rio
После вот этого:
Mord_vin писал(а):
у меня более 800 ПК, 3 терминальных сервера и 1200 пользователей
Вот это:
Цитата:
платный софт ваше не рассматриваю.
вызывает как минимум удивление
Как конкретно через GPO бы блокируешь вендовые машины?
Последний раз редактировалось: Serge! (24 Сентября 2011 11:18), всего редактировалось 1 раз
Mord_vin
На форуме 15 лет
Сообщения: 1133
Откуда: Шамбала
Авто: ИС-3 и Т-34
Serge! писал(а):вызывает как минимум удивление
а, что конкретно тебя удивляет? видимо ты не понял! я не рассматриваю платный софт конкретно для решения затыкания информационной бреше в конкретном описанном случае.
Serge!
На форуме 20 лет
Сообщения: 11692
Откуда: Рязань
Авто: kia rio
Mord_vin писал(а):Serge! писал(а):вызывает как минимум удивление
а, что конкретно тебя удивляет? видимо ты не понял! я не рассматриваю платный софт конкретно для решения затыкания информационной бреше в конкретном описанном случае.
ну если окажется, что
халявными штатными/бесплатными способами этого сделать качественно не получится, для серьезной сетки не грех и денюшек потратить.
Mord_vin
На форуме 15 лет
Сообщения: 1133
Откуда: Шамбала
Авто: ИС-3 и Т-34
Serge! писал(а):ну если окажется, что халявными штатными/бесплатными способами этого сделать качественно не получится, для серьезной сетки не грех и денюшек потратить.
Можно решить эту проблему поднятием IP Sec между клиентами сети а AD, но при таком раскладе необходимо будет менять архитектуру Автоматизированной системы в целом - если я это скажу своему сис.админу у него будет психологическая катастрофа!!!
, я в это году на безопасность (FireWall, idp/ips, web content filter, antivirus, программа по аудиту AD потратил около 1 500 000 рублей) не дадут мне больше недег....освоиный бюджет был расчитан на 3 года, если я ген.диру или начальнику по ИТ скажу что нужно есчо бабло - меня уволят
Serge!
На форуме 20 лет
Сообщения: 11692
Откуда: Рязань
Авто: kia rio
Mord_vin
Повторю вопрос:
Как конкретно через GPO бы блокируешь вендовые машины?
Я к чем, если в АД разрешить доступ по сети только списку компов это в твоем случае работает?
Mord_vin
На форуме 15 лет
Сообщения: 1133
Откуда: Шамбала
Авто: ИС-3 и Т-34
Serge! писал(а):Как конкретно через GPO бы блокируешь вендовые машины?
_________________
запреты для гостей и анонимного входа и для виндовых машин это работает, т.к. пользователи на ПК находящиеся не в домене и в случает их подключения в сеть олицетворяются как гости, либо как анонимы - и это работает, но как олицитворяется линуксовый клиент??? Я НИКГДЕ этого не могу найти....
Единственное что осталось попробовать, это как вариант (и странно что я о нем забыл) это на вкладке Назначение прав пользователя-Доступ к компьютеру из сети установить - Domain Computers
Mord_vin
На форуме 15 лет
Сообщения: 1133
Откуда: Шамбала
Авто: ИС-3 и Т-34
Serge! писал(а):Я к чем, если в АД разрешить доступ по сети только списку компов это в твоем случае работает?
и ты тоже написал.
мыслЯ пришла одновременно!
genich
На форуме 16 лет
Сообщения: 7962
Откуда: Бутово
Mord_vin
тяжело тебе. Сочувствую просто.
А так да, онли Домэин ПК. Но...ноуты предприятия есть? У нас некоторые в домене...Хотя и ликвидируем.
Mord_vin писал(а):genich
то что ты написал, это КОМПЛЕКС МЕР по информационной безопасности, а не решение конкретной задачи, все что ты написал давно действует,
если пользователь-инсайдер то
genich писал(а):
запрет на личную оргтехнику с ознакомлением каждого под роспись и штрафом при нарушении
не прокатит.
genich писал(а):
а нафига так шар много?
у меня более 800 ПК, 3 терминальных сервера и 1200 пользователей .
genich писал(а):
McAfee DLP-систему
это деньги и большие, столько мне не дадут - платный софт ваше не рассматриваю.
Мне необходимо решить проблему с помощью GPO, но я же говорю, что где то ошибся, т.к. виндовым машинам доступ заблочен, а вот линуксовым запретить не удается, и я не пойму почему.... Pardon
а тут да, есть противоречия.
Про кол-во ПК и терминалы пофиг, я писал про хранилища сетевые. Ну да, стоят как Калина или Приора, но стоят того.
А почему запрет не прокатит? На личные хрени. У нас охрана бдит. И премии есть, чтоб лишать. Если мозга нет у людей.
Вообще на домен особо не рассчитываем. Там даже сменные носители не всегда отрабатывают.
genich
На форуме 16 лет
Сообщения: 7962
Откуда: Бутово
Кстати, Мордвин, это клона твоего забанили что ли? Тему кто создал?
Mord_vin
На форуме 15 лет
Сообщения: 1133
Откуда: Шамбала
Авто: ИС-3 и Т-34
ИНФОРМАЦИЯ ПО ИКОНКАМ И ВОЗМОЖНОСТЯМ
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы можете вкладывать файлы
Вы можете скачивать файлы